CertiK发布OpenClaw安全报告:280条安全公告、100+CVE漏洞,AI智能体规模化应用安全警钟敲响
2026年4月22日,区块链安全审计公司CertiK正式发布《OpenClaw安全报告》,以已公开修复的安全事件为切入点,全方位剖析了这款GitHub星标突破30万的现象级AI智能体框架在规模化应用中的多重安全短板,为行业敲响了安全警钟。
报告核心数据
CertiK报告披露,2025年11月至2026年3月短短五个月内,OpenClaw累计产生280条安全公告,披露超过100个CVE漏洞。这一数字对于一款开源AI工具而言,既反映了社区活跃的安全修复节奏,也暴露出系统在安全设计层面的深层问题。
安全痛点全景拆解
一、架构层:核心网关设计缺陷
报告指出,OpenClaw的核心网关存在”以访问来源接近性替代严格身份验证”的设计缺陷。这意味着攻击者只需利用本地来源或URL参数等手段,即可绕过身份验证,获取Shell执行权限、文件访问权限及多设备编排控制权等完整能力。此外,消息平台身份绑定机制不完善,导致允许列表频繁被绕过,相关安全公告多达60条。
二、执行层:策略校验与实际执行脱节
在执行环节,策略校验机制与实际执行逻辑存在明显脱节。攻击者通过参数缩写即可绕过安全限制。本地工作空间文件系统的边界控制不一致,路径遍历漏洞与沙箱缺口在多个模块中独立、多次出现,进一步扩大了攻击面。
三、供应链层:ClawHub插件市场安全堪忧
供应链安全是报告重点提及的隐患。CertiK发现,OpenClaw的ClawHub插件市场已出现数百个恶意技能(Skills),同时存在仿冒安装程序和npm软件包等风险。更为棘手的是,AI智能体技能可通过自然语言影响系统行为,这一特性使得传统基于代码特征的安全检测手段难以有效识别恶意技能。
四、部署层:13.5万个实例暴露
最令人警醒的数据来自部署安全领域:CertiK在82个国家监测到超过13.5万个暴露在公共网络中的OpenClaw实例。这些未做充分安全加固的实例,极易成为攻击者渗透本地资产的跳板。
五、未解难题:提示词注入
报告将提示词注入列为尚未根本解决的难题,指出仅靠模型层面的改进无法根治此问题,必须通过多层系统级防护、严格的能力控制,并将持久性存储作为关键攻击面加以保护。
行业影响与应对建议
CertiK在报告中提出了全流程防御指引:
- 开发者层面:将安全融入设计源头,强化权限控制与系统防护;
- 部署方层面:严格管控权限、做好监控审计,严审第三方扩展来源;
- 用户层面:保持谨慎态度,避免赋予自治智能体对核心账户的访问权限。
此次报告的发布时机恰逢OpenClaw生态爆发式增长阶段。2026年以来,腾讯QClaw、阿里云JVS Claw、蚂蚁数科DTClaw等衍生产品密集上线,OpenClaw智能体正在从开发者工具快速走向政企和消费级市场。CertiK报告的警示意义在于:规模化发展必须以安全为前提,”先跑再改”的安全策略在智能体领域可能带来远超传统软件的风险。
结语
CertiK此次报告不仅为OpenClaw生态参与者提供了详实的安全指引,更对整个AI智能体行业发出了系统性预警。当AI智能体开始掌握文件访问、Shell执行、设备控制乃至支付能力,安全问题便从”锦上添花”升级为”生死攸关”。如何在追求功能快速迭代的同时守住安全底线,将是2026年所有AI智能体玩家必须回答的核心命题。